El grupo cibercriminal ShinyHunters atacó este 7 de mayo la plataforma educativa Canvas, el sistema de gestión de aprendizaje (LMS) usado por miles de universidades y escuelas en todo el mundo, causando una interrupción masiva en plena semana de exámenes finales. Lo cubre The Verge a partir de comunicados de Instructure —la empresa detrás de Canvas— y de informes de seguridad confirmados por diversas universidades afectadas.
No es el primer ataque de este mes. ShinyHunters ya había declarado haber comprometido la infraestructura de Instructure el 30 de abril, con datos de hasta 275 millones de usuarios expuestos, incluyendo nombres, direcciones de correo, IDs de estudiantes y mensajes privados. Instructure respondió con medidas de seguridad; ShinyHunters respondió al parche con un segundo ataque el 7 de mayo, dejando páginas de inicio de Canvas reemplazadas con su mensaje de extorsión. «En lugar de contactarnos para resolver el problema, lo ignoraron e hicieron algunos ‘parches de seguridad'», escribía el aviso.
El plazo del ultimátum: 12 de mayo de 2026. Las instituciones que quieran evitar la publicación de sus datos deben contactar al grupo antes de esa fecha.
La escala del incidente
ShinyHunters afirma que cerca de 9.000 escuelas de todo el mundo están afectadas. La lista confirmada incluye las ocho universidades de la Ivy League —Harvard, Yale, Princeton, Columbia, Penn, Brown, Dartmouth y Cornell—, además de Duke, Georgetown, Rutgers, Kent State y decenas de instituciones más. En el Reino Unido, Europa y Australia también se reportaron disrupciones.
La brecha incluye, según la propia confirmación de Instructure, «cierta información de identificación de usuarios, como nombres, direcciones de correo electrónico y números de ID de estudiantes, así como mensajes entre usuarios.» Instructure confirma que las contraseñas y los datos bancarios están a salvo.
El vector de ataque del segundo hackeo, confirmado por Instructure en una declaración: las cuentas Free-For-Teacher, un tipo de cuenta sin cargo que cualquier docente puede crear. El grupo explotó una vulnerabilidad vinculada a ese tipo de cuenta para recuperar acceso después de que Instructure creyó haber cerrado la brecha del primer ataque.
Instructure tomó Canvas completamente offline como medida cautelar, afectando a millones de estudiantes en plena semana de exámenes. La interrupción llegó al peor momento posible del calendario académico.
ShinyHunters: el grupo detrás del ataque
ShinyHunters no es un grupo nuevo. Luke Connolly, analista de amenazas en Emsisoft, lo describe como una agrupación informal de adolescentes y jóvenes adultos con base en EE.UU. y el Reino Unido, activo desde 2020 y responsable de ataques a Ticketmaster (560 millones de registros robados en 2024), Vimeo (vía su integrador Anodot, también en mayo 2026) y ahora Instructure.
El ataque a Canvas coincide exactamente con el patrón que Mandiant (propiedad de Google) había documentado en un informe de principios de 2026: ShinyHunters usa voice phishing sofisticado y páginas de login falsas con marca corporativa para robar credenciales de empleados, accede a plataformas cloud y extorsiona a las víctimas con la amenaza de publicación.
El ataque a Canvas también es notable por su impacto colateral. Los estudiantes accedían al sistema de gestión de exámenes en el peor momento; los profesores tuvieron que improvisar entregas alternativas de materiales. Instructure dijo que Canvas estaba «disponible para la mayoría de usuarios» al final del 7 de mayo, aunque Canvas Beta y Canvas Test seguían en mantenimiento.
Mi valoración
ShinyHunters lleva meses demostrando que los LMS universitarios son un objetivo especialmente atractivo: acumulan datos de cientos de millones de personas, están a menudo subalimentados en presupuesto de seguridad respecto a su importancia real, y la presión pública de una interrupción en semana de exámenes es enorme.
Lo que más me preocupa de este caso no es el hackeo en sí —la vulnerabilidad de cuentas Free-For-Teacher parece un punto de entrada que Instructure debería haber asegurado mejor tras el primer ataque del 30 de abril—, sino el ciclo de «parcheo superficial bajo presión + segundo ataque más espectacular.» Si Instructure hubiera respondido al primer incidente con un cierre completo para auditoría en lugar de medidas de corrección parciales, el segundo ataque no habría sido posible de la misma forma.
Preguntas frecuentes
¿Mis contraseñas y datos bancarios están en peligro si uso Canvas?
Instructure ha confirmado que las contraseñas y los datos bancarios no fueron comprometidos en ninguno de los dos ataques. Los datos expuestos incluyen nombres, correos electrónicos, números de ID de estudiantes y mensajes privados entre usuarios. Aun así, es recomendable cambiar la contraseña de Canvas como medida preventiva, especialmente si usas la misma contraseña en otros servicios.
¿Cuándo volvió a funcionar Canvas con normalidad?
Instructure reportó que Canvas estaba «disponible para la mayoría de usuarios» a las 21:17 (hora de las Montañas Rocosas) del 7 de mayo. Canvas Beta y Canvas Test siguieron en mantenimiento. No hay información confirmada sobre cuándo se eliminará definitivamente la vulnerabilidad de las cuentas Free-For-Teacher que permitió el segundo acceso.
¿Qué datos específicos robó ShinyHunters de Canvas?
Según la confirmación de Instructure, los datos incluyen información identificativa como nombres, correos electrónicos y números de ID de estudiantes, además de mensajes privados entre usuarios del sistema. ShinyHunters afirma haber obtenido 3,65 terabytes de datos con 275 millones de registros, incluyendo «miles de millones de mensajes privados.»